Una de las principales preocupaciones de las empresas es la seguridad informática. En esta era digital, llamada “Digital First”, que tiene como principal objetivo priorizar el uso de servicios digitales en los negocios para ofrecer servicios a los clientes, es fundamental invertir en seguridad para proteger la información.
De acuerdo con IDC, la creciente preocupación de las empresas con respecto a la seguridad de su información y datos digitales es evidente. El gasto en servicios de ciberseguridad en América Latina debería rondar los US$ 3,600 millones, un aumento del 11.1% de 2022 a 2023, y una tasa de crecimiento anual compuesto (CAGR) de 11.2% hasta 2026.
Y es que, al digitalizar toda la información de la empresa, utilizar sitios web o realizar cualquier acción a través de internet, los datos de la compañía quedan expuestos y vulnerables a cualquier tipo de ataque cibernético. Pero no por ello, las empresas deben detener su camino a la transformación digital sino pensar desde el principio en una estrategia de seguridad, y así evitar amenazas como el ransomware.
Nelson Arbelaez, Ingeniero Sénior de Hillstone Networks en Colombia, explica que el ransomware es un tipo de software malicioso, o lo que se conoce como malware, que ha sido creado para acceder al sistema de un usuario y bloquear el acceso a su propia información y archivos personales. Esto se hace con el objetivo de exigir el pago de un rescate para liberar la información (secuestro de datos).
Aunque parezca un asunto reciente, la verdad es que no lo es. Se tiene el registro de que los primeros tipos de ransomware fueron creados desde los años 80; en ese entonces, los pagos por el rescate se debían realizar a través del correo postal.
Claramente, estos métodos han evolucionado con el pasar de los años. Tanto la práctica del ransomware como el “protocolo de rescate”; hoy en día son completamente diferentes; por lo general, los ciberatacantes exigen que el pago del rescate se efectúe a través de criptomonedas.
¿Cómo se lleva a cabo un ciberataque de ransomware?
Según el especialista de Hillstone Networks, existen diversos métodos a través de los cuales un computador o servidor puede infectarse con ransomware.
Una infección con ransomware funciona de la siguiente manera. Primero, el software malicioso ingresa en el sistema, bien sea a través de spam o phishing, que son aquellos mensajes que ingresan a un correo electrónico y contienen el malware.
Este tipo de correos spam suelen incluir archivos adjuntos maliciosos, ya sea en formato PDF o algún documento en Word; aunque también, pueden contener algunos enlaces que te llevarán a sitios web maliciosos.
Una vez la persona abra el documento o ingrese al enlace en el correo, el ransomware ingresa en el dispositivo y comienza a cifrar el sistema operativo, bien sea completamente o de manera parcial, bloqueando algunos cuantos archivos.
Posterior a ello, el ciberatacante procede a exigir a la víctima el pago de un rescate para liberar sus datos, pero esto no significa que el ataque fue reciente, pues los ciberdelicuentes pueden ir cifrando datos y viendo la operación de la empresa por días, semanas y meses.
Tipos de ransomware
Existen tres tipos de ransomware que se clasifican según su nivel de gravedad:
Scareware
De todos, es el menos dañino para el sistema. Este software malicioso se caracteriza por ofrecer falsas ofertas de soporte técnico y programas de seguridad que no son reales. Al activarse, la persona recibirá mensajes exigiendo el pago para la liberación.
Bloqueadores de pantalla
Su nivel de gravedad es medio. En este caso, el software malicioso le impedirá al usuario utilizar completamente su computador. Su aspecto es el de una ventana que ocupa toda la pantalla y que muestra el logo de una entidad internacional como FBI o del grupo cibercriminal que está haciendo el ataque.
Ramsomware de cifrado
Es el más nocivo de todos. Este software secuestra los archivos que encuentre en el PC y los cifra. La condición es pagar para descifrarlos y regresarlos a su propietario. Una vez el virus ingrese al computador, no hay manera restaurar el sistema y recuperar los archivos.
¿Cómo protegerse del ransomware?
Para los expertos en ciberseguridad, la mejor manera de protegerse de este tipo de ataques es evitando infectarse.
Si bien se han desarrollado algunos procedimientos para tratar un sistema infectado con ransomware, estas soluciones no garantizan una completa recuperación de los archivos. De esta manera, lo más recomendable siempre será evitar estos ciberataques.
El primer consejo es invertir soluciones de seguridad informática. Trabajar con una empresa experta te brindará más garantías de protección a tus archivos. Si contratas un programa de protección en tiempo real, será más fácil frustrar cualquier tipo de ataque de malware, y a su vez se complementa esta seguridad de los dispositivos finales, con soluciones de NDR o XDR que brinden una capa más de seguridad.
En el centro de datos, también es vital esa protección. Los centros de datos habilitados para la nube requieren una nueva estrategia de seguridad para hacer frente a los retos de las infraestructuras multiusuario y multicloud, así como de las redes definidas por software (SDN) y la virtualización de las funciones de red.
El especialista explica que en los últimos meses se han incrementado los ataques dirigidos a los ambientes virtuales y, por esta razón, debemos tener la forma de microsegmentar los ambientes virtuales, crear políticas de seguridad y tener la visibilidad completa de esos ambientes para tener un mayor control sobre lo que cursa en estos ambientes y, de acuerdo a lo anterior, la toma de decisiones sea más facial de acuerdo a la información que se logra con este tipo de tecnologías.
Según Nelson Arbeláez, Ingeniero Sénior de Hillstone Networks para Colombia, la microsegmentación permite a los administradores de seguridad segmentar el centro de datos en áreas distintas y, a continuación, definir y aplicar políticas de seguridad para cada segmento, hasta una máquina virtual, carga de trabajo, usuario u otra división.
Una solución de microsegmentación debe ser tan virtual, flexible y elástica como la infraestructura a la que sirve. Debe ser capaz de insertarse profundamente en el entorno virtual para proteger las transferencias de datos y los recursos virtuales a medida que se despliegan, crecen, se reducen y migran dentro del centro de datos. También debe ser consciente del hipervisor y estar estrechamente integrado con las plataformas de gestión y orquestación virtuales y de la nube. “Si se recibiera un ataque, al estar segmentada la red, solo se afectaría ese campo, pero los demás segmentos e información estarían aislados. Así se puede proteger la información”, anota el especialista.
Por otra parte, es necesario que adquiera el hábito de crear copias de seguridad de los datos e información. Trate de mantener estas copias almacenadas en la nube, pero con un cifrado de alto nivel, lo que le impediría a cualquier ciberatacante acceder a esos datos.
De igual manera, puede almacenar los archivos en discos duros externos.
¿Qué impacto podría tener el ransomware en una empresa?
En el contexto actual, el ransomware es de los ciberataques más comunes en todo el mundo. Este tipo de programa dañino, también conocido como malware, secuestra los datos informáticos de empresas o personas para solicitar un rescate económico.
Las consecuencias de un ataque por ransomware en la empresa pueden ser muy graves, desde pérdidas de datos e información valiosa para la compañía, hasta serias pérdidas económicas y su reputación hasta el cierre de operaciones.
¿Cómo actuar ante un ataque de ransomware?
En caso de que se presente un ataque de ransomware en la empresa, las acciones siguientes que debe ejecutar son fundamentales para minimizar el impacto del ataque cibernético.
- Identifique el alcance del problema
Lo primero que debe tener en cuenta es el alcance que tuvo el ciberataque. Es decir, cuándo ocurrió, cuántos equipos se vieron afectados, qué tipo de información fue secuestrada, etc.
Al tener claras estas respuestas, podrá definir con mayor certeza cómo proceder.
- Reúna todas las pruebas posibles
El segundo es la toma de evidencias del ciberataque. En esta ocasión debe tomar fotos o capturas de pantalla del mensaje del ataque de ransomware en el o los equipos afectados. Esta información podrá ser de gran utilidad más adelante para presentar denuncias.
- Poner en cuarentena los equipos afectados
Es importante aislar todos los sistemas que estén infectados, esto con el fin de evitar que otros equipos se infecten y el virus se propague en otros sistemas.
Tener muy en cuenta que no en todos los casos es necesario pagar por el rescate de los archivos. Existen algunos medios o empresas especializadas que pueden ofrecerte varias herramientas para descifrar los datos y recuperarlos.
- Proteger las copias de seguridad
Mantenga a salvo las copias de seguridad que haya hecho anteriormente del sistema. Es fundamental que, tan pronto se entere del ataque, bloquee el acceso a los sistemas de respaldo hasta cuando esté seguro de que los equipos están completamente desinfectados.
- Cambia las contraseñas
Dependiendo de la variante de ransomware podría aplicar el cambio en las contraseñas de las cuentas online luego de haber desconectado de la red los sistemas que se vieron afectados con el virus.
- Denuncia el ciberataque
La denuncia es fundamental para ayudar a la policía en sus investigaciones para mitigar la ciberdelincuencia.
Recuerde que, en cualquier caso, la prevención es lo más importante, pues será la manera más efectiva de luchar contra este tipo de ataques. Y, aunque nunca se garantiza el 100 % de la protección de los datos, con un buen sistema de seguridad informática, la probabilidad de exposición a los ataques cibernéticos se reduce significativamente. La recomendación, no pague por un ransomware, pues alentará a que este flagelo siga en aumento.
